Exchange Server и обновления безопасности MS15-011 и MS15-014


Только что выпущены обновления безопасности MS15-011 & MS15-014
и возникает вопрос о том, какое влияние они могут оказать на Exchange Server 2010/2013.

Во-первых, надо сказать, что по умолчанию ничего в поведении клиентов и серверов не меняется. Только после специальных настроек происходит изменение: требуется обязательная подпись SMB пакетов относительно UNC путей, которые указал явно администратор. В рекомендациях KB3000483 эти пути указаны и касаются только расположения скриптов и групповых политик. Администратор может включить в этот список и другие пути для усиления безопасности, например, путь к Witness шаре. В этом случае как раз и возникает вопрос о том, нужно ли вообще это делать, и как это скажется на Exchange Server.

Теоретически, конечно, можно атаковать Witness шару, чтобы попытаться разрушить кластер, DAG и нарушить работу почтовой системы. Практически это теряет смысл в условиях динамического кворума и динамического Witness, которые можно использовать на Windows Server 2012/R2.

Другое дело, что Witness шара вполне может располагаться на обычном файловом сервере, усиление безопасности которого может косвенно затронуть Witness шару.

Еще один момент заключается в том, что вышеупомянутые обновления безопасности, хотя в том и нет прямой необходимости, могут быть установлены на почтовые серверы в рамках единых требований политики безопасности предприятия, и опять же косвенным образом это может коснутся Witness шары. Таким образом велики шансы на то, что Witness шара попадет под действие механизмов безопасности.

Может ли это создать проблему в работе кластера и DAG? Как выше было уже сказано, наличие динамического кворума и динамического Witness исключает разрушение кластера. Возможно ли разрушение шары этими обновлениями вообще? Абсолютно нет. Суть обновлений в том, что они позволяют не включать подпись пакетов SMB тотально и при этом защитить только конкретный участок. Если же включить подпись пакетов SMB повсеместно, то никакие сервисы от этого не пострадают. (Исключением может стать шара реализованная иными средствами (Samba или продукт третьих фирм)).

Таким образом обновления безопасности MS15-011 & MS15-014
никак не влияют на работу Exchange Server 2010/2013.

Полезно: MS15-011 & MS15-014: Hardening Group Policy

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: